Ochrana osobních údajů

Správcem osobních údajů ve vztahu k provozu webových stránek a služby EduConnect je:

• Jméno: Julius Joska
• IČO: 24409979
• Sídlo: Praha, Česká republika
• E-mail: [email protected]
• Web: ajtak.it

Ve vztahu k osobním údajům žáků, učitelů a zaměstnanců školy vystupuje jako správce příslušná škola (vzdělávací instituce), která službu EduConnect využívá. Provozovatel služby EduConnect (Julius Joska, IČO 24409979) vystupuje v roli zpracovatele na základě smlouvy o zpracování osobních údajů uzavřené se školou.

Služba EduConnect slouží jako školní informační systém a z povahy své činnosti zpracovává osobní údaje nezletilých žáků. Zpracování těchto údajů podléhá zvýšené ochraně v souladu s čl. 8 GDPR a příslušnými ustanoveními zákona č. 110/2019 Sb.

Osobní údaje nezletilých žáků jsou zpracovávány výhradně za účelem plnění povinností školy vyplývajících ze školského zákona (č. 561/2004 Sb.) a souvisejících právních předpisů. Souhlas se zpracováním uděluje zákonný zástupce nezletilého žáka.

V rámci služby EduConnect zpracováváme následující kategorie osobních údajů:

Údaje žáků

• Jméno a příjmení
• Třída a ročník
• Klasifikace (známky, hodnocení)
• Docházka (přítomnost, absence, pozdní příchody)
• E-mailová adresa (u starších žáků)

Údaje zákonných zástupců (rodičů)

• Jméno a příjmení
• E-mailová adresa
• Telefonní číslo
• Vazba na žáka

Údaje učitelů a zaměstnanců školy

• Jméno a příjmení
• E-mailová adresa
• Přiřazené předměty a třídy
• Role v systému

Technické údaje

• IP adresa
• Typ prohlížeče a zařízení
• Datum a čas přístupu
• Údaje z cookies (viz Zásady používání cookies)

Osobní údaje zpracováváme za těmito účely:

• Provoz školního informačního systému — správa klasifikace, docházky, rozvrhů a třídních knih
• Komunikace — zasílání zpráv mezi školou, učiteli a rodiči
• Plnění zákonných povinností školy — vedení školní matriky, evidence docházky, klasifikace dle školského zákona
• Správa uživatelských účtů — registrace, autentizace a autorizace uživatelů
• Analytika a zlepšování služby — anonymizovaná analytika využívání služby
• Zabezpečení — ochrana před neoprávněným přístupem, audit log

Osobní údaje zpracováváme na základě následujících právních titulů:

• Plnění smlouvy (čl. 6 odst. 1 písm. b) GDPR) — zpracování nezbytné pro plnění smlouvy o poskytování služby EduConnect uzavřené se školou
• Plnění právní povinnosti (čl. 6 odst. 1 písm. c) GDPR) — plnění povinností vyplývajících ze školského zákona a dalších právních předpisů
• Oprávněný zájem (čl. 6 odst. 1 písm. f) GDPR) — zabezpečení služby, prevence podvodů, analytika využívání
• Souhlas (čl. 6 odst. 1 písm. a) GDPR) — u nezletilých žáků souhlas zákonného zástupce, zejména pro zpracování údajů nad rámec zákonných povinností školy

Škola (vzdělávací instituce) vystupuje jako správce osobních údajů žáků, rodičů a zaměstnanců školy. Škola určuje účely a prostředky zpracování těchto údajů.

EduConnect (provozovatel: Julius Joska, IČO 24409979, podnikající pod značkou ajtak.it) vystupuje jako zpracovatel osobních údajů na základě smlouvy o zpracování osobních údajů uzavřené se školou v souladu s čl. 28 GDPR.

Smlouva o zpracování osobních údajů je součástí smluvního vztahu mezi školou a provozovatelem služby EduConnect a upravuje zejména:

• Předmět a dobu zpracování
• Povahu a účel zpracování
• Typ osobních údajů a kategorie subjektů údajů
• Povinnosti zpracovatele vůči správci
• Technická a organizační opatření

Osobní údaje uchováváme po dobu:

• Po dobu trvání smluvního vztahu — tj. po dobu, kdy škola aktivně využívá službu EduConnect
• 5 let po ukončení smluvního vztahu — archivace v souladu s požadavky školského zákona (č. 561/2004 Sb.) a vyhlášky č. 364/2005 Sb. o vedení dokumentace škol
• Technické údaje (logy, IP adresy) — maximálně 12 měsíců

Po uplynutí doby uchování jsou osobní údaje bezpečně smazány nebo anonymizovány.

Osobní údaje mohou být předány následujícím příjemcům (zpracovatelům):

• Cloudflare, Inc. — poskytovatel CDN a bezpečnostních služeb (ochrana před DDoS útoky, optimalizace výkonu). Data mohou být přechodně zpracovávána na serverech mimo EU za podmínek standardních smluvních doložek.
• Migadu GmbH — poskytovatel e-mailových služeb (doručování systémových e-mailů, notifikací)
• Hostingová infrastruktura — servery umístěné v České republice a Evropské unii

Osobní údaje nejsou prodávány ani poskytovány třetím stranám pro marketingové účely. Údaje mohou být zpřístupněny orgánům veřejné moci pouze na základě zákonného požadavku.

Jako subjekt údajů máte v souladu s GDPR následující práva. U údajů žáků tato práva vykonává zákonný zástupce nezletilého žáka:

• Právo na přístup (čl. 15 GDPR) — právo získat potvrzení o zpracování a přístup ke svým údajům
• Právo na opravu (čl. 16 GDPR) — právo na opravu nepřesných nebo doplnění neúplných údajů
• Právo na výmaz (čl. 17 GDPR) — právo na smazání údajů, pokud pominul účel zpracování
• Právo na omezení zpracování (čl. 18 GDPR) — právo požadovat omezení zpracování za určitých podmínek
• Právo na přenositelnost údajů (čl. 20 GDPR) — právo získat údaje ve strukturovaném formátu a předat jinému správci
• Právo vznést námitku (čl. 21 GDPR) — právo vznést námitku proti zpracování na základě oprávněného zájmu
• Právo odvolat souhlas — kdykoli, bez vlivu na zákonnost zpracování před odvoláním
• Právo podat stížnost — u dozorového úřadu (viz níže)

Pro uplatnění svých práv nás kontaktujte na e-mailu [email protected]. Na vaši žádost odpovíme bez zbytečného odkladu, nejpozději do 30 dnů.

Přijali jsme odpovídající technická a organizační opatření k zajištění bezpečnosti osobních údajů:

• Šifrování — veškerá komunikace je šifrována protokolem TLS/SSL, data v databázi jsou šifrována at-rest
• Řízení přístupu — role-based access control (RBAC) s principem minimálních oprávnění
• Audit log — veškeré přístupy k citlivým údajům jsou zaznamenávány
• Pravidelné zálohy — automatické šifrované zálohy s ověřováním integrity
• Bezpečnostní aktualizace — pravidelné aktualizace software a infrastruktury
• Monitoring — nepřetržité sledování bezpečnostních událostí

Pokud se domníváte, že zpracování vašich osobních údajů porušuje GDPR, máte právo podat stížnost u dozorového úřadu:

• Úřad pro ochranu osobních údajů (ÚOOÚ)
• Pplk. Sochora 27, 170 00 Praha 7
• Web: www.uoou.cz
• E-mail: [email protected]
• Telefon: +420 234 665 111

Tyto zásady mohou být průběžně aktualizovány. O podstatných změnách budeme informovat prostřednictvím služby EduConnect nebo e-mailem. Aktuální verze je vždy dostupná na této stránce.